Вы здесь

Настройка Private VLAN на коммутаторах D-Link

Posted on: 17 March 2017
By: Elin

Технология виртуальных локальных сетей (VLAN) стандарта 802.1Q всем, я надеюсь, хорошо известна. Она позволяет разделить локальную сеть на широковещательные домены. При этом, порт коммутатора в составе VLAN может быть тегированным (tagged) или нетегированным (untagged). Через тегированные порт кадры покидают коммутатор с меткой (VID) виртуальной локальной сети, которой они принадлежат, а при передаче через нетегированный порт эта метка удаляется. Порт, который передает кадры с любой меткой VLAN называется транковым (trunk).

Но вот что такое Private VLAN?

Смотрим на картинку:

Primary VLAN – это так называемый «первичный» VLAN, которые включает в себя «вторичные» VLAN (secondary VLAN). Вторичные VLAN могут быть двух типов – community (общий) и isolated (изолированный). Компьютеры в community VLAN могут обмениваться данными друг с другом и с promiscuous -портами первичной VLAN, а компьютеры в isolated VLAN – только с promiscuous-портами. Трафик между компьютерами в isolated VLAN и между isolated и community VLAN будет блокирован.

Существует несколько правил:

Private VLAN может содержать одну isolated VLAN и несколько community VLAN.
Вторичные VLAN не могут быть ассоциированы с несколькими первичными.
Нетегированные порты первичной VLAN будут promiscuous –портами.
Тегированные порты первичной VLAN будут транковыми (trunk) портами.
Promiscuous –порты private VLAN не могут быть Promiscuous –портами в другой private VLAN.
Порт первичной VLAN не может быть портом во вторичной VLAN, и наоборот.
Вторичные VLAN могут содержать только нетегированные порты.
Порт, принадлежащий одной вторичной VLAN, не может одновременно принадлежать другой вторичной VLAN.
Когда VLAN ассоциирована с первичной как вторичная, promiscuous –порт первичной VLAN ведет себя как нетегированный порт вторичной VLAN, а транковый порт первичной VLAN – как тегированный порт вторичной VLAN.
Только первичная VLAN может быть сконфигурирована как L3-интерфейс.
На портах, принадлежащийхк private VLAN, не может быть сконфигурирована функция сегментации трафика (traffic segmentation).

Теперь о том, как private VLAN настраивается на коммутаторах D-Link, на примере коммутатора DGS-3120-24TC.

#Создаем private VLAN с VID 100.

DGS-3120-24TC:admin#create vlan vlanid 100 type private_vlan

#Создаем VLAN с именем shared и VID 10

DGS-3120-24TC:admin#create vlan shared tag 10

#Удаляем из VLAN с именем default (VID 1) порты с 1 по 16.

DGS-3120-24TC:admin#config vlan default delete 1-16

#Добавляем порты с 1 по 8 в VLAN с именем shared как нетегированные

DGS-3120-24TC:admin#config vlan shared add untagged 1-8

#В private VLAN 100 добавляем VLAN с именем shared как community VLAN

DGS-3120-24TC:admin#config private_vlan vid 100 add community shared

#Создаем VLAN с именем limited и VID 20

DGS-3120-24TC:admin#create vlan limited tag 20

#Добавляем порты с 9 по 16 в VLAN 20 как нетегированные

DGS-3120-24TC:admin#config vlan vlanid 20 add untagged 9-16

#В private VLAN 100 добавляем VLAN с именем limited как isolated VLAN

DGS-3120-24TC:admin#config private_vlan vid 100 add isolated limited

#Смотрим сделанные настройки

DGS-3120-24TC:admin#show private_vlan

Command: show private_vlan

Primary VLAN    100

------------------------------------------

 Promiscuous Ports   :

 Trunk Ports         :

 Isolated Ports      : 9-16                 Isolated VLAN    : 20

 Community Ports     : 1-8                  Community VLAN   : 10

 Total Entries: 1

Как видим, пока promiscuous-портов в private VLAN нет. Добавим их.

DGS-3120-24TC:admin#config vlan vlanid 100 add untagged 17-23

DGS-3120-24TC:admin#show private_vlan

Command: show private_vlan

Primary VLAN    100

------------------------------------------

 Promiscuous Ports   : 17-23

 Trunk Ports         :

 Isolated Ports      : 9-16                 Isolated VLAN    : 20

 Community Ports     : 1-8                  Community VLAN   : 10

 Total Entries: 1


DGS-3120-24TC:admin#config vlan vlanid 100 add tagged 24


DGS-3120-24TC:admin#show private_vlan

Command: show private_vlan

Primary VLAN    100

------------------------------------------

 Promiscuous Ports   : 17-23

 Trunk Ports         : 24

 Isolated Ports      : 9-16                 Isolated VLAN    : 20

 Community Ports     : 1-8                  Community VLAN   : 10

 Total Entries: 1

Всё, настройка закончена.

Согласно Product selecor tool функцию private VLAN поддерживают следующие серии коммутаторов D-Link: DES-3200, DGS-3120, DES-3528 (52), DGS-3420, DXS-3400, DGS-3620, DXS-3600, DES-7200 и DGS-6600.

Tags:

D-Link

Тематика:

D-Link

Раздел:

Заметки об IT